LIETUVOS RESPUBLIKOS EKONOMIKOS IR INOVACIJŲ MINISTRAS
įsakymas
DĖL EKONOMIKOS IR INOVACIJŲ MINISTRO
2023 m. sausio 19 d. įsakymo nr. 4-25 „Dėl Nacionalinės turizmo informacinės sistemos nuostatų ir nacionalinės turizmo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo
2024 m. lapkričio 20 d. Nr. 4-609
Vilnius
Pakeičiu Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. sausio 19 d. įsakymą Nr. 4-25 „Dėl Nacionalinės turizmo informacinės sistemos nuostatų ir Nacionalinės turizmo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:
„LIETUVOS RESPUBLIKOS EKONOMIKOS IR INOVACIJŲ MINISTRAS
ĮSAKYMAS
Dėl Nacionalinės turizmo informacinės sistemos nuostatų ir nacionalinės turizmo informacinės sistemos duomenų saugos nuostatų patvirtinimo
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 15 straipsnio 1 dalimi, 23 straipsniu, 25 straipsnio 1 dalimi, Lietuvos Respublikos turizmo įstatymo 43 straipsniu, įgyvendindama Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktą ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų reikalavimų aprašas), 7.1 papunktį, 11, 19 ir 26 punktus:
1. Tvirtinu:
2. Skiriu:
2.1. Lietuvos Respublikos ekonomikos ir inovacijų ministeriją Nacionalinės turizmo informacinės sistemos valdytoja ir Nacionalinės turizmo informacinės sistemos duomenų valdytoja;
PATVIRTINTA
Lietuvos Respublikos ekonomikos ir inovacijų ministro
2023 m. sausio 19 d. įsakymu Nr. 4-25
(Lietuvos Respublikos ekonomikos ir inovacijų ministro
2024 m. lapkričio 20 d. įsakymo Nr. 4-609
redakcija)
NACIONALINĖS TURIZMO INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinės turizmo informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Nacionalinės turizmo informacinės sistemos (toliau – NTIS) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūrą, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.
3. NTIS kuriama ir tvarkoma vadovaujantis:
3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
3.8. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Aprašas);
3.9. Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;
3.10. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;
3.11. Valstybės duomenų valdymo platformos veikimo ir naudojimo sąlygų tvarkos aprašu, patvirtintu Valstybės duomenų agentūros generalinio direktoriaus įsakymu;
4. Nuostatuose vartojamos sąvokos atitinka Nuostatų 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.
5. NTIS tikslas – rinkti, kaupti, saugoti, sisteminti, analizuoti, vertinti keliautojų ir turistų asmens duomenis ir turizmo išteklių duomenis, informaciją, dokumentus, taip pat teikti su jais susijusias viešąsias paslaugas.
6. Asmens duomenų tvarkymo NTIS tikslas – keliautojų ir turistų apskaitos ir 1990 m. birželio 19 d. Konvencijos dėl Šengeno susitarimo, sudaryto 1985 m. birželio 14 d. tarp Beniliukso ekonominės sąjungos valstybių, Vokietijos Federacinės Respublikos ir Prancūzijos Respublikos Vyriausybių, dėl laipsniško jų bendrų sienų kontrolės panaikinimo įgyvendinimo 45 straipsnio 1 dalies b punkte nurodyti tikslai.
7. NTIS uždaviniai – realizuoti veikiančias pažangias elektronines paslaugas, susijusias su duomenų apie turizmo išteklius Lietuvos Respublikoje kaupimu, sisteminimu ir viešinimu bei turistų registravimo ir apskaitos procesu.
8. NTIS funkcijos:
II SKYRIUS
NTIS ORGANIZACINĖ STRUKTŪRA
9. NTIS valdytoja ir duomenų valdytoja yra Lietuvos Respublikos ekonomikos ir inovacijų ministerija (toliau – NTIS valdytojas), kuri:
9.1. atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme nustatytas teises ir pareigas;
9.2. turi teises ir vykdo pareigas, susijusias su asmens duomenų tvarkymu, kurios nustatytos Reglamente (ES) 2016/679;
10. NTIS tvarkytoja ir duomenų tvarkytoja yra viešoji įstaiga „Keliauk Lietuvoje“ (toliau – NTIS tvarkytojas), kuri:
10.1. atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
10.2. teikia informaciją apie NTIS veiklą, NTIS duomenis fiziniams asmenims arba juridiniams asmenims, kitoms organizacijoms ar jų padaliniams (toliau kartu – duomenų gavėjai);
10.3. organizuoja NTIS kompiuterinės, programinės, komunikacinės įrangos įsigijimą, nustato šios įrangos priežiūros reikalavimus;
10.4. registruoja pranešimus, prašymus ir (ar) incidentus, susijusius su duomenų neatitikimu sistemoje;
10.7. užtikrina, kad asmens duomenys būtų tvarkomi vadovaujantis Reglamentu (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatymu;
10.8. inventorizuoja NTIS duomenis ir sudarytus NTIS duomenų rinkinius, kaip tai apibrėžta Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatyme, ir užtikrina, kad sudaryti NTIS duomenų rinkiniai būtų pateikti skelbti Lietuvos atvirų duomenų portale naudojantis Valstybės duomenų valdysenos informacinės sistemos funkcijomis Valstybės duomenų agentūros nustatyta tvarka;
10.11. esant būtinybei ir iš anksto suderinus su NTIS valdytoju, pasitelkia kitus asmenis NTIS tvarkymo pakeitimams ar patobulinimams kurti ir atlikti;
11. NTIS duomenų teikėjai:
11.1. valstybės įmonė Registrų centras, kuri duomenis teikia iš Licencijų informacinės sistemos (toliau – LIS) (valdytoja – Ekonomikos ir inovacijų ministerija);
11.2. Valstybės skaitmeninių sprendimų agentūra (toliau – VSSA), kuri duomenis teikia iš Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) (valdytoja – Ekonomikos ir inovacijų ministerija);
11.4. turizmo informacijos centrai arba, jeigu savivaldybės teritorijoje nėra įsteigto turizmo informacijos centro, kiti analogiškas funkcijas atliekantys savivaldybės administracijos ar kitų įstaigų padaliniai (toliau – TIC);
12. NTIS naudotojai:
13. NTIS naudotojų teisės ir pareigos:
13.1. APT vadovas ir (arba) atstovas turi teisę:
13.2. APT darbuotojas turi teisę:
13.3. TIC vadovas ir (arba) atstovas turi teisę:
13.4. TIC darbuotojas turi teisę:
13.5. savivaldybės administracijos vadovas ir (arba) atstovas turi teisę:
III SKYRIUS
NTIS INFORMACINĖ STRUKTŪRA
14. NTIS kaupiami ir tvarkomi šie duomenys:
14.1. turizmo išteklių duomenys:
14.1.1. bendrieji duomenys:
14.1.2. geografiniai (lokacijos) duomenys:
14.1.3. praktinės informacijos duomenys:
14.1.3.7. nuotraukų autorystės duomenys:
14.2. renginių duomenys:
14.2.4. renginio vietos duomenys:
14.2.9. registracijos vykdytojo duomenys:
14.2.12. aprašymo duomenys:
14.3. apgyvendinimo paslaugomis pasinaudojusio turisto asmens duomenys:
14.4. APT objekto duomenys:
14.4.2. juridinio asmens rekvizitai arba fizinio asmens duomenys, kai apgyvendinimo veiklą vykdo fizinis asmuo:
14.4.2.1. juridinio asmens:
14.4.2.1.3. kontaktiniai duomenys:
14.4.2.2. fizinio asmens:
14.4.2.2.3. fizinio asmens kodas (jeigu pagal užsienio valstybės teisės aktus fiziniam asmeniui nesuteikiamas asmens kodas, nurodoma tik gimimo data (metai, mėnuo, diena);
14.4.4. apgyvendinimo paslaugų teikimo (veiklos vykdymo vietos) adresas ir, jei reikia, kiti duomenys (unikalus Nr. ar kt.), padedantys identifikuoti apgyvendinimo paslaugų teikimo vietą;
14.4.8. klasifikuojamųjų apgyvendinimo paslaugų klasifikavimo pažymėjimo arba neklasifikuojamųjų apgyvendinimo paslaugų licencijos duomenys:
14.4.14. gautos pajamos iš apgyvendinimo veiklos:
14.4.15. gautos pajamos iš kitos veiklos:
14.4.15.2. pajamos už turistams suteiktas papildomas paslaugas (įskaitomos pajamos už skalbimo, lyginimo, automobilių saugojimo, konferencijų organizavimo paslaugas, naudojimąsi baseinais, pirtimis, kitomis sveikatingumo procedūromis ir kitas turistams (įskaitant vienadienius lankytojus) suteiktas paslaugas);
14.4.19. APT vadovo duomenys:
14.5. TIC ir (arba) savivaldybių duomenys:
14.5.2. TIC ir (arba) savivaldybės teritorija:
14.5.3. TIC ir (arba) savivaldybės administracijos kontaktinio asmens duomenys:
14.6. TIC ir (arba) savivaldybių administracijų naudotojų duomenys:
14.6.1. TIC ir (arba) savivaldybės administracijos vadovo duomenys:
15. NTIS naudojami duomenys:
15.1. iš LIS į NTIS teikiami Nuostatų 14.4.1–14.4.2.2.4.3, 14.4.3–14.4.8.4 papunkčiuose nurodyti duomenys;
15.2. iš VVTAT į NTIS teikiami Nuostatų 14.4.1–14.4.2.2.4.3 ir 14.4.3–14.4.7 papunkčiuose nurodyti duomenys, jei jie nėra pateikiami LIS;
15.3. APT į NTIS teikia Nuostatų 14.3.1–14.3.10, 14.4.9–14.4.20.3.2 papunkčiuose nurodytus duomenis ir 14.4.1–14.4.2.2.4.3, 14.4.3–14.4.7 papunkčiuose nurodytus duomenis, kai šie duomenys nėra pateikiami VVTAT;
15.4. TIC ir (arba) savivaldybių administracijų atstovai ir (arba) vadovai į NTIS teikia Nuostatų 14.1.1–14.1.3.9, 14.2.1–14.2.12.6, 14.5.3–14.6.2.3 papunkčiuose nurodytus duomenis;
IV SKYRIUS
NTIS FUNKCINĖ STRUKTŪRA
16. NTIS sudarantys posistemiai, moduliai, komponentai ir jų funkcijos:
16.1. viešosios informacijos naudotojo modulis, kurį sudaro:
16.1.1. prisijungimo komponentas, kurio funkcijos – fizinių asmenų ar juridinių asmenų atstovų prisijungimas prie NTIS su prisijungimo vardu ir slaptažodžiu arba autentifikuojantis per VIISP autentifikavimo komponentą ir patekimas į autorizuoto naudotojo sritį;
16.1.2. turizmo duomenų portalo atvaizdavimo komponentas, kurio funkcijos – Nuostatų 14 punkte nustatytų duomenų atvaizdavimas grafiškai, schemiškai, sąrašo pavidalu, jų rūšiavimas, filtravimas, duomenų paieškos vykdymas;
16.2. autorizuoto naudotojo sritis, kurią sudaro:
16.2.1. ataskaitų komponentas, kurio funkcijos – reikiamų ataskaitų sugeneravimas įvairiais pjūviais, jų peržiūra, spausdinimas ir kitų ataskaitų tvarkymo veiksmų atlikimas;
16.3. turistų registracijos posistemė, kurią sudaro:
16.3.1. turistų registracijos kortelių tvarkymo komponentas, kurio funkcijos – naujų turistų registracijos kortelių sukūrimas ir esamų turistų registracijos kortelių redagavimas;
16.4. turizmo išteklių posistemė, kurią sudaro:
16.4.1. turistinio objekto duomenų registracijos komponentas, kurio funkcijos – turizmo išteklių duomenų registravimas;
16.4.2. turizmo išteklių tvarkymo komponentas, kurio funkcijos – turizmo objektų duomenų peržiūra ir tvarkymas;
16.4.3. TIC ir (arba) savivaldybės administracijos paskyros tvarkymo komponentas, kurio funkcijos – TIC ir (arba) savivaldybių administracijų paskyrų sukūrimas ir tvarkymas;
16.5. vidinio naudotojo sritis, kurią sudaro:
16.5.1. administravimo komponentas, kurio funkcijos – sisteminių nustatymų administravimas, APT ar TIC ir (arba) savivaldybės administracijos paskyrų sukūrimas, koregavimas, naikinimas, APT paskyrų įvedimo laukų pagal APT kategoriją kūrimas, redagavimas, įjungimas, išjungimas, naudotojų teisių ir funkcijų administravimas, sisteminių pranešimų kūrimas ir administravimas;
16.5.2. duomenų importo ir (arba) eksporto komponentas, kurio funkcijos – visų APT ir turisto registracijų kortelių ir (arba) TIC ir (arba) savivaldybių administracijų turizmo išteklių duomenų importavimas ir eksportavimas;
16.5.3. duomenų peržiūros komponentas, kurio funkcijos – turistų kortelių, turizmo išteklių duomenų bei turistų judėjimo Lietuvoje schemų peržiūra bei tvarkymas, turizmo išteklių duomenų tvarkymas, peržiūra, patvirtinimas arba atmetimas;
16.5.4. infografikų tvarkymo komponentas, kurio funkcijos – viešojoje srityje grafiškai atvaizduojamų duomenų administravimas;
16.5.5. atvirų duomenų tvarkymo komponentas, kurio funkcijos – viešojoje srityje pateikiamų nuasmenintų atvirų duomenų rinkinių tvarkymas;
16.5.6. duomenų mainų komponentas, kurio funkcijos – duomenų mainų su kitomis informacinėmis sistemomis ir registrais užtikrinimas;
16.5.7. duomenų analizės ir ataskaitų rengimo komponentas. Į šį komponentą perduodami duomenys iš Nuostatų 16.1–16.5.7 papunkčiuose nustatytų komponentų tolimesnei duomenų analizei, ataskaitų ir kitos analitinės informacijos rengimui. Šis komponentas realizuotas Valstybės duomenų valdymo platformoje (toliau – VDV) platformos aplinkoje, joje kaupiami ir tvarkomi Nuostatų 14.3, 14.4.1–14.4.2.1.2, 14.4.2.2–14.4.2.2.3, 14.4.2.2.5.5, 14.4.3–14.4.7, 14.4.10–14.4.15.5 papunkčiuose nurodyti duomenys.
V SKYRIUS
NTIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
17. Nuostatų 14.1.1–14.1.4.3, 14.2.1–14.2.8, 14.2.10–14.2.12.4, 14.2.12.7–14.2.12.8, 14.4.1–14.4.2.1.3, 14.4.3–14.4.8, 14.4.9, 14.4.16–14.4.18 papunkčiuose nurodyti duomenys yra vieši ir NTIS teikiami neatlygintinai duomenų gavėjams, jeigu Lietuvos Respublikos įstatymuose, tiesiogiai taikomuose Europos Sąjungos teisės aktuose ar Lietuvos Respublikos tarptautinėse sutartyse nenustatyta kitaip.
18. NTIS duomenys, įskaitant asmens duomenis, daugkartinio teikimo atveju teikiami pagal NTIS tvarkytojo ir duomenų gavėjo sudarytą duomenų teikimo sutartį, išskyrus Oficialiosios statistikos ir valstybės duomenų valdysenos įstatyme nustatytus atvejus, kurioje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Duomenys, įskaitant asmens duomenis, vienkartinio duomenų teikimo atveju teikiami pagal duomenų gavėjo prašymą, kuriame turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Duomenų gavėjai iš NTIS gautus asmens duomenis privalo naudoti tik duomenų sutartyje ar prašyme nurodytu tikslu ir apimtimi.
19. Duomenys NTIS duomenų gavėjams, su kuriais sudaroma duomenų teikimo sutartis, teikiami leidžiamosios kreipties būdu ir (ar) prisijungiant prie jiems sukurtų vartotojų paskyrų NTIS.
20. NTIS duomenys teikiami prisijungiant prie duomenų gavėjams sukurtų vartotojų paskyrų ir vadovaujantis tokia tvarka:
20.1. duomenų gavėjams, prisijungusiems prie NTIS, suteikiama autorizuota prieiga tik prie tų NTIS duomenų, kurie jiems yra reikalingi duomenų teikimo sutartyje nurodytiems asmens duomenų naudojimo tikslams ir tik tokia apimtimi, kuri reikalinga šiems tikslams pasiekti;
20.2. duomenų gavėjai gali naudotis tik tais NTIS komponentais ar jų dalimis ir jose tvarkomais NTIS duomenimis, prie kurių prieigą jiems suteikė NTIS tvarkytojas;
20.3. duomenų gavėjui suteikiama teisė ieškoti, peržiūrėti ar kitokiu būdu naudoti NTIS duomenis tik duomenų teikimo sutartyje nurodytiems naudojimo tikslams, vadovaujantis duomenų teikimo sutartyje nustatyta tvarka ir sąlygomis;
20.4. duomenų gavėjai prisijungimo prie NTIS duomenis gauna asmeniškai ar kitomis elektroninio ryšio priemonėmis;
20.5. duomenų gavėjai, gavę suteiktą vardą ir slaptažodį ir pirmą kartą prisijungę prie NTIS, privalo pirminį slaptažodį nedelsiant pakeisti nauju;
20.6. duomenų gavėjai privalo naudoti tik jiems suteiktus naudotojų vardus, saugoti slaptažodžius ir jų neatskleisti tretiesiems (neįgaliotiems) asmenims;
20.7. duomenų gavėjai privalo užtikrinti jų naudojamų NTIS duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti duomenų prieinamumo;
20.9. teisė naudotis NTIS duomenimis duomenų gavėjams panaikinama, kai:
20.9.2. duomenų gavėjo darbuotojas ar kitas atsakingas asmuo, duomenų gavėjo pasitelktas duomenų teikimo sutarčiai įgyvendinti, netenka įgaliojimo naudotis NTIS duomenimis ir (ar) yra panaikinama prieiga prie NTIS duomenų;
21. Duomenys NTIS duomenų gavėjams, su kuriais sudaroma duomenų teikimo sutartis, teikiami leidžiamosios kreipties būdu.
22. NTIS duomenys duomenų gavėjams teikiami tokio turinio ir tokio formato, kurie institucijoje jau naudojami ir kurių nereikia papildomai apdoroti. Valstybės informacinių išteklių valdymo įstatymo 35 straipsnio 3 dalyje nurodytais atvejais Lietuvos Respublikos Vyriausybės nustatyta tvarka NTIS duomenys gali būti pateikiami duomenų gavėjo prašomo formato ir turinio.
23. Tais atvejais, kai atsisakoma teikti NTIS duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą sprendimą ir atsisakymo tenkinti jo prašymą motyvus, suteikiama informacija apie tokio sprendimo apskundimo tvarką.
24. NTIS duomenys, išskyrus asmens duomenis ir autorių turtinėmis teisėmis apsaugotus duomenis, Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka. Trečiosioms valstybėms arba tarptautinėms organizacijoms NTIS tvarkomi asmens duomenys perduodami laikantis Reglamente (ES) 2016/679 nustatytų asmens duomenų perdavimo sąlygų.
25. NTIS kaupiami asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Valstybės informacinių išteklių valdymo įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą.
26. NTIS tvarkomų asmens duomenų perdavimas trečiosioms valstybėms arba tarptautinėms organizacijoms numatytas Nuostatų 18, 20, 22 punktuose.
27. NTIS duomenų gavėjai ir kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. NTIS valdytojas nedelsiant informuojamas apie pastebėtus netikslumus ir privalo nedelsdamas, tačiau ne vėliau kaip per 5 darbo dienas nuo informacijos gavimo dienos, ištaisyti klaidingus ar netikslius duomenis ir apie atliktą ar neatliktą duomenų ištaisymą raštu informuoti to pareikalavusį asmenį ir duomenų gavėjus, kuriems buvo pateikti šie duomenys. Kai dėl netikslių duomenų ištaisymo būtina kreiptis į duomenų teikėją, NTIS valdytojas reaguoja kaip galima greičiau, bet ne vėliau kaip per 5 darbo dienas. Ištaisęs netikslius duomenis, NTIS valdytojas nedelsdamas, bet ne ilgiau kaip per 3 darbo dienas, apie tai praneša asmenims, kuriems perduoti netikslūs duomenys.
VI SKYRIUS
NTIS DUOMENŲ SAUGA
29. Duomenų saugą nustato valstybės informacinės sistemos valdytojo patvirtinti valstybės informacinės sistemos duomenų saugos nuostatai ir kiti saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Vyriausybės nustatyta tvarka.
30. Už NTIS duomenų ir elektroninės informacijos saugą pagal kompetenciją atsako NTIS valdytojas ir tvarkytojas Lietuvos Respublikos įstatymų, reglamentuojančių duomenų ir elektroninės informacijos saugą, nustatyta tvarka.
31. NTIS duomenų saugos administracinės, organizacinės, techninės, programinės ir kitos priemonės nustatomos ir duomenų, įskaitant asmens duomenis, saugumas užtikrinamas vadovaujantis:
31.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
31.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
31.6. Lietuvos standartais LST EN ISO/IEC 27001, LST EN ISO/IEC 27002 bei kitais Lietuvos ir tarptautiniais grupės standartais „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, nustatančiais saugų informacinės sistemos duomenų tvarkymą;
32. NTIS duomenys turi būti apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ir kitokio neteisėto veiksmo.
33. Asmenys, tvarkantys asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie duomenys neskirti skelbti viešai. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams. Asmenys, pažeidę asmens duomenų tvarkymą reguliuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka.
34. Asmens duomenų saugumo pažeidimai nagrinėjami vadovaujantis Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašu, patvirtintu Lietuvos Respublikos ekonomikos ir inovacijų ministro 2019 m. vasario 26 d. įsakymu Nr. 4-125 „Dėl Pranešimų apie asmens duomenų saugumo pažeidimus teikimo ir nagrinėjimo tvarkos aprašo patvirtinimo“.
35. APT ar turizmo išteklių objektui nutraukus veiklą visi NTIS buvę su APT ar turizmo išteklių objektu susiję duomenys, išskyrus asmens duomenis, NTIS pagrindinėje duomenų bazėje saugomi 10 metų. Pasibaigus nustatytam terminui, duomenys perkeliami į duomenų bazės archyvą ir vienus metus saugomi. Pasibaigus šiam terminui, duomenys sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.
39. Visi kiti NTIS duomenys, išskyrus asmens duomenis, atsižvelgiant į NTIS steigimo pagrindą ir tikslą, saugomi neribotą laiką.
VII SKYRIUS
NTIS FINANSAVIMAS
42. NTIS kūrimas, tvarkymas ir priežiūra finansuojami Lietuvos Respublikos valstybės biudžeto lėšomis.
VIII SKYRIUS
NTIS MODERNIZAVIMAS IR LIKVIDAVIMAS
44. NTIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Aprašo nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
46. Duomenų subjekto, kurio asmens duomenys tvarkomi NTIS, teisės yra įgyvendinamos Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos ekonomikos ir inovacijų ministerijoje tvarkos aprašu, patvirtintu Lietuvos Respublikos ekonomikos ir inovacijų ministro 2015 m. balandžio 27 d. įsakymu Nr. 4-269 „Dėl Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos ekonomikos ir inovacijų ministerijoje tvarkos aprašo patvirtinimo“.
47. Informacija apie asmens duomenų tvarkymą Ekonomikos ir inovacijų ministerijoje pateikiama ministerijos interneto svetainėje https://eimin.lrv.lt/lt/asmens-duomenu-apsauga ir viešosios įstaigos „Keliauk Lietuvoje“ interneto svetainėje https://www.lithuania.travel/lt/news/duomenu-apsauga.
PATVIRTINTA
Lietuvos Respublikos ekonomikos ir inovacijų ministro
2023 m. sausio 19 d. įsakymu Nr. 4-25
(Lietuvos Respublikos ekonomikos ir inovacijų ministro
2024 m. lapkričio 20 d. įsakymo Nr. 4-609
redakcija)
NACIONALINĖS TURIZMO INFORMACINĖS SISTEMOS
DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinės turizmo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Nacionalinės turizmo informacinės sistemos (toliau – NTIS) elektroninės informacijos saugos ir kibernetinio saugumo politiką.
2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).
3. Elektroninės informacijos saugumo užtikrinimo prioritetinės sritys:
3.3. elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo – užtikrinimas;
4. Elektroninės informacijos saugumo užtikrinimo tikslai:
4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
5. Tvarkant NTIS elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi šiais teisės aktais:
5.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
5.6. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);
5.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas).
6. Saugos nuostatų taikymas ir naudojimas:
6.1. Saugos nuostatai taikomi:
6.1.1. NTIS valdytojai – Lietuvos Respublikos ekonomikos ir inovacijų ministerijai (Gedimino pr. 38, 01104 Vilnius);
7. NTIS valdytojo funkcijos:
7.1. atlikti Valstybės informacinių išteklių valdymo įstatyme ir NTIS nuostatuose nustatytas funkcijas;
8. NTIS tvarkytojo funkcijos:
8.1. atlikti Valstybės informacinių išteklių valdymo įstatyme ir NTIS nuostatuose nustatytas funkcijas;
8.3. užtikrinti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 7.2–7.4 papunkčiuose nurodytų saugos dokumentų (toliau – Saugos dokumentai) ir kitų teisės aktų, susijusių su NTIS elektroninės informacijos sauga ir kibernetiniu saugumu, NTIS nuostatų įgyvendinimą;
9. NTIS saugos įgaliotinio funkcijos:
9.1. koordinuoti ir prižiūrėti elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimą Saugos dokumentuose nustatyta tvarka;
10. NTIS administratoriai pagal atliekamas funkcijas skirstomi į šias grupes:
10.1. NTIS naudotojų administratorius. Jis atlieka funkcijas, susijusias su NTIS naudotojų teisių valdymu;
10.2. NTIS komponentų administratorius. Jis atlieka funkcijas, susijusias su NTIS komponentais – kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, užkardomis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja NTIS ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas bei NTIS komponentų sąranka;
11. NTIS komponentų administratorius yra atsakingas už NTIS komponentų sąrankos aprašymo dokumentų parengimą ir pakeitimą, NTIS pažeidžiamų vietų nustatymą ir NTIS saugos priemonių parinkimą ir įdiegimą bei jų atitiktį Saugos nuostatų ir kitų saugos dokumentų reikalavimams. NTIS komponentų administratorius registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos NTIS saugos įgaliotinį, teikia NTIS tvarkytojui pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo.
12. NTIS administratoriai privalo vykdyti visus NTIS saugos įgaliotinio nurodymus ir pavedimus dėl NTIS saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir nuolat teikti NTIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
13. Atlikdamas NTIS sąrankos pakeitimus, NTIS komponentų administratorius turi laikytis NTIS pokyčių valdymo tvarkos, nustatytos NTIS valdytojo tvirtinamose NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. NTIS tvarkoma elektroninė informacija priskiriama žinybinės svarbos elektroninės informacijos kategorijai, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 10 punktu, pagal kurį informacija priskiriama žinybinės svarbos informacijos kategorijai, jeigu dėl informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė vienos institucijos veiklai arba gali būti padaryta žala vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams, taip pat ir asmens duomenų apsaugai.
16. NTIS priskiriama trečios kategorijos informacinėms sistemoms, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 12.4.4 papunkčiu.
17. Rizikos veiksmų vertinimo organizavimas:
17.1. NTIS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet arba įvykus organizacinių ar sisteminių pokyčių organizuoja NTIS rizikos vertinimą. NTIS rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu.
17.2. Prireikus saugos įgaliotinis gali organizuoti neeilinį NTIS rizikos vertinimą. NTIS tvarkytojo rašytiniu pavedimu NTIS rizikos vertinimą gali atlikti pats saugos įgaliotinis.
17.3. Rizikos vertinimo metu turi būti:
17.3.1. nustatomos grėsmės ir pažeidžiamumas, galintys turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui;
17.4. Rizikos veiksniai rizikos vertinimo ataskaitoje turi būti išdėstyti pagal prioritetus ir priimtiną rizikos lygį. NTIS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama NTIS valdytojo vadovui ir NTIS tvarkytojo vadovui. Rengiant rizikos vertinimo ataskaitą, įvertinami rizikos veiksniai, galintys turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai. Svarbiausi rizikos veiksniai yra šie:
17.4.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);
17.5. Atsižvelgdamas į rizikos įvertinimo ataskaitą, NTIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
18. Informacinių technologijų saugos atitikties vertinimo organizavimas:
18.1. Siekiant užtikrinti Saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per 2 metus turi būti organizuojamas NTIS informacinių technologijų saugos atitikties vertinimas.
18.2. Informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka.
18.3. NTIS atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.
18.4. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos vertinimo ataskaita, kuri pateikiama NTIS valdytojui bei NTIS tvarkytojui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato NTIS valdytojas.
18.5. Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas NTIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą.
19. Elektroninės informacijos saugos ir kibernetinio saugumo būklės gerinimas:
19.1. Techninės, programinės, organizacinės ir kitos NTIS elektroninės informacijos saugos ir kibernetinio saugumo priemonės pasirenkamos atsižvelgiant į NTIS valdytojo turimus išteklius, vadovaujantis šiais principais:
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
20. Organizaciniai ir kibernetinio saugumo reikalavimai nustatomi pagal Saugos nuostatų 26 ir 27 punktuose nustatytą NTIS svarbos kategoriją, vadovaujantis Saugos nuostatų 5 punkte nurodytais teisės aktais ir standartais.
21. Kibernetinio saugumo priemonės, nurodytos Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo priede, turi būti diegiamos atsižvelgiant į naujausius technologinius sprendimus, vadovaujantis gamintojo pateikiama bent viena gerosios saugumo praktikos rekomendacija.
22. Organizacinių ir techninių elektroninės informacijos saugos ir kibernetinio saugumo priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumo, galinčio turėti įtakos NTIS elektroninės informacijos saugai ir kibernetiniam saugumui, rizikos vertinimu, atsižvelgiant į naujausius technikos laimėjimus.
23. Programinės įrangos, skirtos NTIS apsaugoti nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
23.1. Tarnybinėse stotyse ir NTIS vidinių naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, stebėjimo realiu laiku priemonės.
23.2. NTIS komponentai be kenkimo programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina.
23.3. Kenkimo programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. NTIS komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kuriems NTIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims ir kitiems NTIS komponentams yra pradelstas kenkimo programinės įrangos aptikimo priemonių atsinaujinimo laikas, taip pat jei kenkimo programinės įrangos aptikimo priemonės netinkamai veikia arba yra išjungtos.
24. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:
24.2. NTIS vidinių naudotojų kompiuteriuose naudojama programinė įranga turi būti suderinta su NTIS saugos įgaliotiniu.
24.3. Tarnybinių stočių ir NTIS vidinių naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti išbandomi ir įdiegiami.
24.4. Programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų.
24.5. Programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – NTIS komponentų arba taikomosios programinės įrangos administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.
24.6. Programinė įranga turi būti testuojama naudojant atskirą testavimo terpę, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu.
24.7. NTIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugos trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.
25. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kita) pagrindinės naudojimo nuostatos:
25.1. Kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, paslaugos trikdymo, srautinių paslaugos trikdymo atakų įrangą.
25.2. Kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių NTIS naudotojų kompiuterinę įrangą nuo kenkimo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkimo programinės įrangos.
25.3. Apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga.
26. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatusis tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie NTIS būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai), nustatyti NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.
27. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (išmaniųjų telefonų ir planšetinių kompiuterių) (toliau – Mobilieji įrenginiai), naudojamų prisijungti prie NTIS, pagrindinės saugos nuostatos:
28. Organizaciniai ir kibernetinio saugumo reikalavimai išsamiai aprašyti informacinės sistemos ir kibernetinio saugumo politikos įgyvendinamuosiuose dokumentuose.
29. Atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
29.1. Atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną NTIS neveikimo laikotarpį (angl. recovery time objective).
29.2. Atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokiu mastu, kad NTIS veiklos sutrikimo, elektroninės informacijos saugos ir kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais NTIS neveikimo laikotarpis nebūtų ilgesnis, nei nustatyta NTIS svarbos kategorijai, nurodytai Saugos nuostatų 26 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus.
29.3. Atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta NTIS saugaus elektroninės informacijos tvarkymo taisyklėse.
29.4. Elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos.
29.5. Atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra NTIS tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate.
29.6. Periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
30. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, NTIS administratorių, NTIS saugos įgaliotinio kvalifikacijos ir patirties reikalavimai:
30.1. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, NTIS administratorių, NTIS saugos įgaliotinio kvalifikacija turi atitikti jų pareiginiuose nuostatuose, jei tokie yra, nustatytus reikalavimus.
30.2. NTIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti elektroninės informacijos saugos ir kibernetinio saugumo srities kvalifikaciją, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, nuostatomis. NTIS tvarkytojas turi sudaryti sąlygas kelti NTIS saugos įgaliotinio kvalifikaciją.
30.3. NTIS administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti NTIS ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti NTIS komponentus (stebėti NTIS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti nepertraukiamą NTIS komponentų veikimą ir panašiai). NTIS administratoriai turi būti susipažinę su Saugos nuostatais.
31. NTIS tvarkytojas pagal savo institucijos kompetenciją užtikrina NTIS saugos įgaliotinio, NTIS duomenų valdymo įgaliotinio, NTIS administratorių kvalifikacijos kėlimą.
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
33. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, ir NTIS administratorių supažindinimą su Saugos dokumentais ar jų santrauka, atsakomybe už Saugos dokumentų nuostatų pažeidimus organizuoja NTIS saugos įgaliotinis.
34. NTIS naudotojų, nurodytų NTIS nuostatų 12 punkte, supažindinimo su Saugos dokumentais ar jų santrauka būdai turi būti pasirenkami atsižvelgiant į NTIS specifiką (NTIS ir jos naudotojų, nurodytų NTIS nuostatų 12 punkte, buvimo vietą, organizacinių ir (ar) techninių priemonių, leidžiančių identifikuoti su Saugos dokumentais ar jų santrauka susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją galią, panaudojimo galimybes ir panašiai).
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
36. NTIS naudotojai, NTIS saugos įgaliotinis, NTIS administratoriai pagal kompetenciją atsako už NTIS tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. Saugos dokumentų ir kitų elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojančių teisės aktų nuostatas pažeidę NTIS naudotojai, NTIS saugos įgaliotinis, NTIS administratoriai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.